Microsoft, Edge uzantılarını yayınlamak için güvenliği elden geçiriyor


Microsoft Kenarı

Microsoft, geliştirici hesaplarının güvenliğini ve tarayıcı uzantılarının güncellenmesini artıran “Edge uzantısı geliştiricileri için Yayınlama API’sinin” güncellenmiş bir sürümünü kullanıma sundu.

Yeni bir Microsoft Edge tarayıcı uzantısını ilk kez yayımlarken, geliştiricilerin bunu İş Ortağı Merkezi aracılığıyla göndermeleri gerekir. Onaylandıktan sonra sonraki güncellemeler İş Ortağı Merkezi veya Yayınlama API’sı aracılığıyla yapılabilir.

Microsoft’un Güvenli Gelecek Girişiminin bir parçası olarak şirket, uzantıların kötü amaçlı kodlarla ele geçirilmesini önlemek için tarayıcı uzantısı yayınlama süreci de dahil olmak üzere tüm ürün gruplarında güvenliği artırıyor.

Yeni Yayınlama API’si ile sırlar artık her geliştirici için dinamik olarak oluşturulan API anahtarları haline geliyor ve statik kimlik bilgilerinin kod veya diğer ihlallerde açığa çıkması riski azaltılıyor.

Bu API anahtarları artık Microsoft’un veritabanlarında anahtarların kendisi yerine karma olarak saklanacak ve böylece API anahtarlarının olası sızıntısı daha da önlenecek.

Güvenliği daha da artırmak için erişim belirteci URL’leri dahili olarak oluşturulur ve uzantıları güncellenirken geliştirici tarafından gönderilmelerine gerek yoktur. Bu, kötü amaçlı uzantı güncellemelerini göndermek için kullanılabilecek URL’lerin açığa çıkmasıyla ilgili ek riskleri sınırlayarak güvenliği daha da artırır.

Son olarak, yeni Yayınlama API’si, önceki iki yıla kıyasla API anahtarlarının geçerliliğini her 72 günde bir sona erdirecek. Sırların daha sık dönüşümlü olarak değiştirilmesi, bir sırrın açığa çıkması durumunda kötüye kullanımın devam etmesini önler.

Edge geliştiricileri yeni API anahtar yönetimi deneyimini İş Ortağı Merkezi kontrol panelinde deneyebilir.

Edge Yayınlama API'si
Yeni Edge Publish API kontrol paneli
Kaynak: Microsoft

Geliştiricilerin daha sonra ClientId’lerini ve gizli dizilerini yeniden oluşturmaları ve mevcut tüm CI/CD işlem hatlarını yeniden yapılandırmaları gerekecektir.

Yazılım geliştiricileri genellikle kimlik avı saldırılarında ve kimlik bilgilerini çalmaya yönelik bilgi çalmaya yönelik kötü amaçlı yazılım kampanyalarında hedef alınır.

Bu kimlik bilgileri daha sonra kaynak kodunu çalmak veya tedarik zinciri saldırılarında meşru projeleri tehlikeye atmak için kullanılır.

Microsoft şu anda yeni Yayınlama API’sine geçişteki kesintiyi en aza indirmek için bu yeni süreci “katılım” haline getiriyor olsa da, güncellenen Yayınlama API’sinin gelecekte zorunlu hale gelmesi şaşırtıcı olmayacaktır.

Microsoft’un duyurusu, “Yeni Yayınlama API’sine geçişte yaşanacak kesintiyi en aza indirmek için bunu isteğe bağlı bir deneyim haline getirdik. Bu, yeni deneyime kendi hızınızda geçiş yapmanızı sağlar.”

“Gerekirse, devre dışı bırakabilir ve önceki deneyime geri dönebilirsiniz; ancak herkesi mümkün olan en kısa sürede yeni, daha güvenli deneyime geçmeye teşvik ediyoruz.”

“Yeni Yayınlama API’siyle gelen güvenlik geliştirmeleri, uzantılarınızı korumanıza ve yayınlama sürecinin güvenliğini artırmanıza yardımcı olacak.”



Source link